Software voor accountantsSoftware voor boekhoud- en accountantskantorenSoftware voor de kmo

Wat is GDPR?

AVG - GDPR

Op 25 mei 2018 wordt de General Data Protection Regulation (GDPR) van kracht.

De Europe Unie heeft op 27 april 2016 de definitieve versie gepubliceerd van deze wetgeving, die er in de eerste plaats gekomen is voor de bescherming van privégegevens. Onder privégegevens verstaan we alle data die kan gelinkt worden aan een individu, zoals bijvoorbeeld bankkaartgevens, paswoorden, financiële gegevens, medische en sociale gegevens. Met deze nieuwe wetgeving wil de EU in de eerste plaats de burgers terug meer controle geven over hun persoonlijke data. Een tweede belangrijk doel is de verdere ondersteuning van de digitale economie.

 

Voor wie geldt GDPR?

Een veel gehoorde misvatting is dat de wetgeving enkel zou gelden voor grote ondernemingen, maar GDPR geldt voor alle bedrijven die, onafhankelijk van hun grootte, onder deze criteria vallen:

  • Gevestigd zijn in de EU
  • Gevestigd buiten de EU, maar goederen en/of diensten leveren aan EU burgers
  • Persoonlijke gegevens verzamelen en/of het gedrag monitoren van EU burgers

 

Principes

  • transparantie: de persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toelating gegeven en kent zijn rechten.
  • doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden
  • gegevensbeperking: enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld
  • juistheid: de persoonsgegevens moeten correct zijn en blijven
  • bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel
  • integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging
  • verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen

 

De verschillende partijen in GDPR

Datacontroller & dataprocessor

De datacontroller is de partij die eigenaar is van de privégegevens, die beslist waarvoor ze gebruikt worden en op welke manier ze verwerkt worden.

De dataprocessor verwerkt data in opdracht van de datacontroller, typisch is dit een serviceprovider. Wanneer u bijvoorbeeld als onderneming privégegevens verwerkt, maar deze zijn opgeslagen in de cloud, dan bent u de datacontroller en is de cloudprovider de dataprocessor.

 

Toezichthouders

In elke EU lidstaat is er een Supervising Authority (SA), in België is dat de CBPL, de Commissie voor de Bescherming van de Persoonlijke Levenssfeer. Al deze SA’s worden op hun beurt gecoördineerd door de European Data Protection Board, het hoogste GDPR-orgaan binnen de EU.

 

Datasubject

Onder het datasubject verstaan we het individu op wie de gegevens betrekking hebben.

 

Wat houdt deze nieuwe wet in voor uw onderneming?

Elke onderneming die privégegevens verwerkt, zal vanaf 25 mei 2018 een Data Protection Officer (DPO) moeten aanstellen.

De DPO zal regelmatige security audits uitvoeren, moet GDPR-compliantie kunnen aantonen en rapporteert aan de nationale SA en aan zijn directie. Hij is ook  verantwoordelijk voor een tijdige rapportering van datalekken. De DPO hoeft geen full-time rol te zijn en kan ook uitgevoerd worden door een externe partij. Zowel de datacontroller als de dataprocessor moeten een DPO hebben. Beiden moeten in staat zijn om de veiligheid van de data continu te monitoren en datalekken tijdig op te sporen. De DPO moet te allen tijde kunnen aantonen dat de privédata voldoende beveiligd zijn.

In de wetgeving is er sprake van hoge boetes bij overtredingen.

Lees meer over GDPR

 

Onze oplossing BoCount Dynamics, powered by Microsoft, zet in op security, privacy en GDPR-compliancy.

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *